Complementos para editores de código Pose Developer-Protection …



Hay dos vulnerabilidades críticas en los complementos para el well known editor de código de Visual Studio, ahora parcheado, pero la empresa de seguridad Snyk advierte que los complementos populares podrían poner en peligro los entornos de desarrollo.

Las vulnerabilidades descubiertas en dos complementos para el preferred editor de código Visual Studio de Microsoft podrían permitir que un atacante ejecute malware engañando a un desarrollador para que haga clic en un enlace, dice la firma de seguridad de computer software Snyk en un nuevo análisis. Esto plantea la preocupación de que las extensiones del editor de código puedan usarse como una forma de comprometer los entornos de desarrollo.

Las dos extensiones, Open up in Default Browser y Immediate Markdown, representan más de 600.000 descargas en VS Code Marketplace. Eso es respetable, pero no se acerca a los complementos más populares para manejar código en lenguajes populares, como Python y C, que tienen decenas de millones de descargas. Si bien Snyk reveló de manera responsable los problemas y ahora están parcheados, la investigación debería generar inquietudes sobre si otras extensiones tienen problemas similares, dice Kirill Efimov, un investigador de seguridad de Snyk.

La pregunta es si Visual Studio Code de Microsoft, Atom de GitHub y otros editores de código extensible han tenido suficientes evaluaciones de seguridad, dice.

«Creo que esto es solo la punta del iceberg», dice Efimov. «Si bien nuestra investigación solo cubre este vector de ataque específico en la publicación y no es probable que las extensiones populares tengan problemas similares, cuando observamos (otras) investigaciones (en) extensiones de VS Code, espero que esta área siga siendo una mina de oro para los investigadores . «

Los editores de código extensible han despegado durante la última década. El enfoque de Microsoft en admitir una amplia variedad de lenguajes de programación y marcos ha hecho que Visual Studio Code sea increíblemente preferred entre 11 millones de usuarios actuales. Microsoft declaró hace un año. En standard, aproximadamente el 51% de los desarrolladores usan la plataforma de codificación, mientras que otro 23% usa Chic Textual content y el 13% united states Atom de GitHub. según la encuesta StackOverflow de 2019.

«Desde el punto de vista del desarrollador, … debería estar más preocupado y consciente de las extensiones que instala», Snyk estados en el análisis de vulnerabilidad. «Desafortunadamente, actualmente no hay herramientas para examinar la seguridad de las extensiones integradas en el mercado».

El interés de los atacantes es comprensible, ya que la cadena de suministro de computer software permite aprovechar los compromisos para atacar un juego más grande. A principios de este mes, por ejemplo, la empresa de gestión de vulnerabilidades Quick7 se convirtió en la última empresa en apuntar a sus desarrolladores cuando los atacantes accedían a los repositorios de códigos de la empresa. Destacando el poder de tales ataques, la brecha de Quick7 ocurrió debido a un ataque anterior a la herramienta de verificación de código de terceros Codecov, dice la compañía.

Los atacantes utilizan técnicas similares para atacar proyectos de código abierto, ya sea insertándose como un desarrollador legítimo o, en algunos casos, tomando el handle de un proyecto y luego modificando el código.

«Las consecuencias de un ataque a la cadena de suministro de application pueden ser graves», declaró la Agencia de Seguridad de Infraestructura y Ciberseguridad CISA en un aviso en abril de 2021. «Al comprometer a un proveedor de software program, pasan por alto las medidas de seguridad del perímetro, como enrutadores fronterizos, cortafuegos, etc., y obtienen acceso inicial».

Los editores de código extensibles pueden representar un campo fértil para los buscadores de vulnerabilidades y atacantes. Las vulnerabilidades encontradas por Snyk podrían tener una variedad de impactos dependiendo de la configuración del entorno del desarrollador. En el caso de la extensión Instant Markdown, con solo abrir el archivo README de un repositorio se inicia un servidor world-wide-web en un puerto en individual (8090) como una forma de ver el archivo. Sin embargo, la extensión tiene una vulnerabilidad individual, conocida como recorrido de ruta, que permite a los atacantes invertir su camino desde el directorio real a un directorio principal completamente diferente.

«Puede parecer que una extensión es simplemente una capacidad IDE extendida, pero su radio de explosión es significativamente más severo que eso», afirma Snyk en el aviso. «Una extensión comprometida en la computadora portátil de un desarrollador significa que, como mínimo, el atacante abrió un agujero en el firewall y obtuvo acceso a las redes corporativas internas».

Mantener el ecosistema seguro requiere más controles de seguridad y una mejor manera de comunicar a los usuarios hasta qué punto se han verificado los complementos del editor. Como mínimo, los desarrolladores que publican y mantienen extensiones para cualquier plataforma, ya sea VS Code o un marco de código abierto, deben usar herramientas de seguridad modernas para verificar la seguridad del código, dice Efimov de Snyk.

Para su propio trabajo, los desarrolladores deben seleccionar la extensión más preferred para beneficiarse de un mayor escrutinio tanto por parte del equipo que mantiene el código como de la foundation de usuarios. Además, los desarrolladores deben hacer su propia investigación sobre los posibles problemas de seguridad descubiertos en extensiones específicas y la rapidez con la que los mantenedores resuelven los problemas.

«Verifique si una extensión se mantiene activamente para estar al tanto de cualquier problema abierto», dice Efimov, y agrega: «Espero que nuestra publicación atraiga la atención sobre este problema».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking through, MIT&#39s Engineering Evaluate, Common Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial